Wanneer een gebruiker geen toegang meer heeft tot zijn tweede verificatiefactor, bijvoorbeeld door een nieuwe of verloren telefoon, kan hij niet meer inloggen op Microsoft 365. Een beheerder kan de MFA-registratie dan opnieuw instellen. In dit artikel leest u hoe u MFA voor een gebruiker herstelt.
Probleem
Een gebruiker kan niet meer inloggen omdat de authenticator-app op een verloren, vervangen of gewiste telefoon stond. De tweede factor is onbereikbaar, terwijl het wachtwoord nog wel klopt.
Oorzaak
MFA is gekoppeld aan een geregistreerde methode, meestal een authenticator-app op een specifiek apparaat. Raakt dat apparaat kwijt of wordt het vervangen, dan is de tweede factor weg.
Zonder terugvalmethode kan de gebruiker de tweede stap niet voltooien en blijft hij buitengesloten, ook al is het wachtwoord correct.
Een beheerder lost dit op door de bestaande MFA-registratie te wissen of opnieuw te vragen, zodat de gebruiker bij de volgende aanmelding een nieuwe methode kan instellen.
Oplossing
Verifieer eerst de identiteit van de gebruiker om misbruik te voorkomen; MFA-herstel is een gevoelige actie.
Wis of vraag de MFA-registratie van de gebruiker opnieuw aan in het Microsoft 365- of Entra-beheer.
Laat de gebruiker bij de volgende aanmelding een nieuwe authenticator-app of methode registreren.
Stappenplan
- Verifieer de identiteit van de gebruiker via een betrouwbaar kanaal.
- Log in op het Microsoft 365-beheercentrum of Entra-beheer.
- Open de betreffende gebruiker en ga naar de authenticatiemethoden.
- Wis de bestaande MFA-registratie of vraag opnieuw registreren aan.
- Informeer de gebruiker dat de tweede factor opnieuw moet worden ingesteld.
- Laat de gebruiker bij de volgende aanmelding een nieuwe methode registreren.
- Stel direct een terugvalmethode in.
- Controleer dat het inloggen met de nieuwe factor werkt.
Herstelvolgorde
Veilig herstel begint met identiteitscontrole. Onderstaand de aanbevolen volgorde.
Voorbeeld:
1. Identiteit gebruiker verifieren 2. MFA-registratie wissen (beheer) 3. Gebruiker registreert nieuwe methode 4. Terugvalmethode instellen 5. Inloggen testen
Waarom identiteitscontrole essentieel is
MFA-herstel is een geliefd doelwit voor social engineering: een aanvaller die zich voordoet als een gebruiker probeert via de helpdesk de tweede factor te laten resetten. Daarom is het verifiëren van de identiteit van de aanvrager de belangrijkste stap, nog vóór het technische herstel.
Gebruik hiervoor een betrouwbaar kanaal en bij voorkeur een vooraf afgesproken verificatiemethode. Een te soepele herstelprocedure ondermijnt de beveiliging die MFA juist beoogt te bieden.
Na het herstel is het verstandig direct een terugvalmethode in te stellen, zodat een toekomstig verlies van het apparaat niet opnieuw tot volledige buitensluiting leidt.
- Identiteitscontrole vóór technisch herstel
- Gebruik een betrouwbaar, liefst vooraf afgesproken kanaal
- Stel na herstel direct een terugvalmethode in
Veelgemaakte fouten
- MFA resetten zonder de identiteit van de gebruiker te verifiëren.
- Geen terugvalmethode instellen na het herstel.
- Het wachtwoord onnodig wijzigen terwijl alleen de tweede factor weg is.
- Herstel laten uitvoeren door iemand zonder de juiste beheerdersrechten.
- De gebruiker niet informeren dat een nieuwe methode nodig is.
- Aannemen dat de oude registratie vanzelf weer werkt op een nieuw apparaat.
Controle na afloop
- Controleer dat de oude MFA-registratie is gewist.
- Controleer dat de gebruiker een nieuwe methode heeft geregistreerd.
- Controleer dat een terugvalmethode is ingesteld.
- Laat de gebruiker een proefaanmelding doen.
Praktische tips
- Verifieer altijd eerst de identiteit voordat u MFA reset.
- Stel na herstel meteen een terugvalmethode in.
- Documenteer wie wanneer een MFA-herstel heeft uitgevoerd.
- Stimuleer gebruikers om meerdere methoden te registreren.
Veelgestelde vragen
Kan een gebruiker MFA zelf herstellen?
Met een ingestelde terugvalmethode kan een gebruiker vaak zelf overstappen. Zonder terugval is een beheerder nodig om de registratie te resetten.
Moet ik ook het wachtwoord wijzigen bij MFA-herstel?
Niet per se. Als alleen de tweede factor verloren is, volstaat het herstellen van MFA. Wijzig het wachtwoord alleen bij een vermoeden van compromittering.
Hoe voorkom ik toekomstige buitensluiting?
Laat gebruikers meerdere methoden registreren, zoals een authenticator-app én een terugvalnummer, zodat verlies van één apparaat niet meteen tot buitensluiting leidt.
Samenvatting
Wanneer een gebruiker zijn tweede factor kwijt is, herstelt een beheerder MFA door de registratie te wissen, waarna de gebruiker een nieuwe methode instelt. Verifieer altijd eerst de identiteit om misbruik te voorkomen en stel na herstel direct een terugvalmethode in. Meerdere geregistreerde methoden voorkomen toekomstige buitensluiting.
Gerelateerde artikelen
- MFA (multifactorauthenticatie) activeren in Microsoft 365
- Outlook instellen voor Microsoft 365
- Mailbox toevoegen in Microsoft 365
Komt u er niet uit? Plan een gratis strategiegesprek via https://www.bdmnl.nl/plan.
Was dit artikel nuttig?
Dat is fantastisch!
Hartelijk dank voor uw beoordeling
Sorry dat we u niet konden helpen
Hartelijk dank voor uw beoordeling
Feedback verzonden
We stellen uw moeite op prijs en zullen proberen het artikel te verbeteren